哪些因素会导致 ARP 误报警报？

适用于

• ONTAP 9.10.1 及更高版本
• 自主勒索软件防护 (ARP)

回答

• 导致 ONTAP 中 ARP 误报的关键因素是：
  • 文件扩展名：
    • ARP 将不熟悉的文件扩展名标记为可疑。
    • 具有生成唯一扩展的自动化流程的环境可能会看到更多误报。
  • 工作负载类型：
    • 高频文件操作（创建、删除、重命名）可触发警报。像 VMware 备份这样涉及大量文件 I/O 的工作负载尤其容易发生这种情况。
    • 参考知识库：软件备份导致 ONTAP 中的反勒索软件快照
  • 学习模式持续时间：
    • ARP 需要足够的学习时间（7–30 天）来区分正常和异常活动。
    • 学习不足会增加误报。
• 以下措施可以帮助防止 ONTAP 中的 ARP 误报：
  • 检测参数：
    • 调整 ARP 参数（例如新文件扩展名的阈值、高熵数据和文件操作浪涌）可以减少误报。
  • 用户反馈：
    • 将警报标记为误报可防止 ARP 标记类似的未来事件。
  • 浪涌检测：
    • ARP 基于历史基线检测文件操作中的峰值。
    • 调整激增检测设置有助于最大限度地减少正常工作负载波动的误报。

追加信息

了解 Autonomous Ransomware Protection 快照保护和攻击检测